Файл: 4. 1 Разработка модели угроз безопасности информации.docx
Добавлен: 25.04.2024
Просмотров: 36
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы.
2.2 Описание процессов передачи информации.
2.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
7. Актуальные угрозы безопасности информации
Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному «Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.
ИСПДн «Кадры» ЗАО «Солнышко» предназначена для работы в _____________________ режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют ____________ права доступа к информации, ИСПДн _______________(имеет, не имеет) подключения к сетям связи общего пользования и сетям международного информационного обмена.
Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.
Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ЗАО «Солнышко» относится к угрозам _____ типа1 – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ЗАО «Солнышко», таблица 3.
Таблица 3
| № | Характеристика | Значение |
| 1 | Категория персональных данных2 | |
| 2 | Субъекты ПДн3 | |
| 3 | Объем обрабатываемых ПДн4 | |
| 4 | Количество рабочих станций, входящих в состав ИСПДн | |
| 5 | Структура ИСПДн5 | |
| 6 | Количество пользователей, допущенных к работе в ИСПДн | |
| 7 | Режим обработки ПДн в ИСПДн6 | |
| 8 | Разграничению прав доступа пользователей7 | |
| 9 | Подключение ИСПДн к локальным (распределенным) сетям общего пользования8 | |
| 10 | Тип ИСПДн9 | |
| 11 | Местонахождение технических средств ИСПДн | |
| 12 | Тип актуальных угроз10 (на основании разработанной модели угроз и анализа актуальных угроз в ИСПДн) | |
По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной модели угроз ИСПДн «Кадры» ЗАО «Солнышко» присвоен ____ уровень защищенности11.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
К основным негативным последствиям от реализации угроз12 безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» определены ____________________ (таблица 4).
Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.
Таблица 4
| № | Виды риска (ущерба) | Актуальность | Возможные типовые негативные последствия |
| | | | |
4. Возможные объекты воздействия угроз безопасности информации
Негативные последствия, объекты воздействия, виды воздействия на них в ИСПДн «Кадры» ЗАО «Солнышко» изображены в таблице 513.
Таблица 5
| Негативные последствия | Объекты воздействия | Виды воздействия |
| | | |
5. Источники угроз безопасности информации
Возможные цели реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» нарушителями14 представлены в таблице 6.
Таблица 6
| № вида | Виды нарушителя | Категории нарушителя | Возможные цели реализации угроз безопасности информации |
| | | | |
Уровни возможностей нарушителей по реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 715.
Таблица 7
| № | Уровень возможностей нарушителей | Возможности нарушителей по реализации угроз безопасности информации | Виды нарушителей |
| | | | |
6. Способы реализации (возникновения) угроз безопасности информации
Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 816.
Примеры определения актуальных способов реализации угроз безопасности информации
и соответствующие им виды нарушителей и их возможности
Таблица 8
| № п/п | Вид нарушителя | Категория нарушителя | Объект воздействия | Доступные интерфейсы | Способы реализации |
| | | | | | |
7. Актуальные угрозы безопасности информации
7.1 Актуальные техники и тактики реализации угроз.
Из общего состава техник и тактик, приведенных в Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России от 5 февраля 2021 г., исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик.
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 917.
Таблица 9 – Расшифровка актуальных техник и тактик реализации УБИ
| № | Тактика | Основные техники |
| | | |
7.2 Перечень актуальных угроз безопасности информации
Далее уже исходя из этих применимых тактик, возможностей нарушителей, объектов воздействия и их интерфейсов и способов реализации определены актуальные угрозы (табл.10).
Таблица 10
| Группа актуальных угроз | Уровень возможностей нарушителей | Объекты воздействий | Способы реализации | Негативные последствия |
| | | | | |
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности18:
Экспертная группа:
Начальник отдела ИБ ЗАО «Солнышко» Семенов С.С.
Начальник отдела аудита ФГУП «НПП «Бэтта» Васильев Р.А.
Ведущий специалист по ТЗИ ФГУП «НПП «Бэтта» Петров В.И.
1 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
2 Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
